当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082073

漏洞标题:某政府建站系统存在一处SQL注入

相关厂商:南京擎天科技

漏洞作者: 贫道来自河北

提交时间:2014-11-06 16:08

修复时间:2015-02-04 16:10

公开时间:2015-02-04 16:10

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-06: 细节已通知厂商并且等待厂商处理中
2014-11-11: 厂商已经确认,细节仅向厂商公开
2014-11-14: 细节向第三方安全合作伙伴开放
2015-01-05: 细节向核心白帽子及相关领域专家公开
2015-01-15: 细节向普通白帽子公开
2015-01-25: 细节向实习白帽子公开
2015-02-04: 细节向公众公开

简要描述:

RT

详细说明:

南京擎天科技开发的政府建站系统存在一处SQL注入
案例:
http://hf.jjbctv.com/webusr/webuser_reg_page.aspx
http://221.226.86.69:8011/webuser/webuser_reg_page.aspx
http://58.222.211.21/xhweb/webusr/webuser_reg_page.aspx
http://www.jseic.gov.cn:8081/jxwweb/webusr/webuser_reg_page.aspx
http://61.178.185.50/lzweb/webusr/webuser_reg_page.aspx
http://58.213.129.206:8080/jytweb/webusr/webuser_reg_page.aspx
http://zwdt.njlh.gov.cn/webuser/webuser_reg_page.aspx
http://qlyg.jiangsudoc.gov.cn/webuser/webuser_reg_page.aspx

漏洞证明:

我就只演示1个站了
http://hf.jjbctv.com/webusr/webuser_reg_page.aspx
抓包数据:__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwUKMTg5ODE0MzI4OQ9kFgICAw9kFgICBQ9kFgQCBg9kFgICAQ9kFgICAQ8QDxYGHg1EYXRhVGV4dEZpZWxkBQljaGluYW5hbWUeDkRhdGFWYWx1ZUZpZWxkBQVyZWZpZB4LXyFEYXRhQm91bmRnZBAVAwnoh6rnhLbkuroG5rOV5Lq6BuWFtuS7lhUDATABMQEyFCsDA2dnZ2RkAggPZBYCAgEPZBYCAgEPEA8WBh8ABQljaGluYW5hbWUfAQUFcmVmaWQfAmdkEBUECei6q%2BS7veivgQnlrabnlJ%2For4EJ5Yab5Lq66K%2BBBuWFtuS7lhUEATEBMgEzATQUKwMEZ2dnZ2RkGAEFHl9fQ29udHJvbHNSZXF1aXJlUG9zdEJhY2tLZXlfXxYCBQZSYWRpbzEFBlJhZGlvMqYVxOTS6ahK7ZutI%2F%2Fj6htOZlt8&__VIEWSTATEGENERATOR=304B237C&__EVENTVALIDATION=%2FwEWGwLAl8nbDgLAr4KVDgKu9JiEDQKt9JiEDQL9xOyZBgLixOyZBgKz5IO9BQKh7MTHCwK0kaclAquRpyUCqpGnJQLFnbG5BAKAzNGZCwKBzNGZCwKCzNGZCwKDzNGZCwLwsLm7DQLTsJXWCAKlusiVBwKwgbuWDQK8l%2BbCDwLrl9LgCALqmqDYBALCxojICwKEmo%2BxCALVu9viDwKT6ZfdBSUXiN2vVmaLOz05i3dPwBiIQ8R2&password1=88952634&password2=88952634&usersort=0&companyname=88952634&linkman=88952634&applicant_code=88952634&certificateNO=88952634&Ctr_Email=safe3q%40gmail.com&mobile=88952634&phone=88952634&fax=88952634&address=88952634&postalcode=88952634&Ctr_Vilidate_Code=88952634&Ctr_Code=9194&Btn_Save=%E6%8F%90%E4%BA%A4&usertype=0&certificatetype=1&Ctr_Loginid=88952634
都是一样的抓包数据

QQ图片20141105103657.png


QQ图片20141105103831.jpg

修复方案:

过滤

版权声明:转载请注明来源 贫道来自河北@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2014-11-11 10:05

厂商回复:

最新状态:

暂无